某公司网络安全的架构胧迪.doc

1、摘 要： 随着网络技术的发展，网络已经融入每个人的生活无处不在了，但是人们在享受互联网带来的便捷的同时，往往忽略了网络安全这一非常严峻的问题。文章主要研究的是网络安全的架构与实现，以有限公司为例，分别从防火墙的构架与实现、入侵检测的构架与实现、信息安全管理审计系统架构与实现及内网保密安全的构架与实现四个方面详细介绍了网络安全的实现过程，增强了企业网络安全方面的防范能力。关键字： 网络安全 防火墙 入侵检测 内网保密ABSTRACT： With the development of network technology, the network has been integrated into

2、the lives of everyone everywhere, but people enjoy the convenience of the Internet has brought tend to ignore this very serious problem in the network security. The article is the architecture and implementation of network security, Dawn Logistics Co., Ltd., for example, from the architecture and im

3、plementation of the firewall, intrusion detection architecture and implementation of information security management audit system architecture and implementation of intranet security framework and the realization of the four detailed network security implementation process, and enhance enterprise ne

4、twork security prevention capability.KEY WORDS: network security firewall Intrusion Detection The confidentiality of the intranet 目 录目 录2前 言4第1章 公司现状51.1 公司简介51.2 公司网络状况61.3 公司网络安全问题71.3.1 主要安全隐患71.3.2 具体的网络安全问题8第2章 网络安全架构需求分析92.1 保证内网安全92.2 保证广域网接入的安全92.3 保证远程访问的安全9第3章 网络安全架构实现具体方案103.1 设备链接拓扑图与网络划

5、分103.2 防火墙的架构与实现113.2.1 连接与登录配置113.2.2 透明模式（网桥模式）的安装与部署143.2.3 内外网互访策略编辑与管理153.2.4 L2TP配置183.4 入侵检测系统的架构与实现223.4.1 IDS设备部署与配置223.4.2 IDS入侵检测253.5 信息安全管理审计系统架构与实现293.5.1 系统的部署及系统登录293.5.2 网络访问与网络日志查看313.5.3 监控策略的应用323.6 内网保密安全系统的架构与实现373.6.1内网保密软件的部署及登录373.6.2 上网行为监控383.7 趋势科技防毒墙配置40第4章 安全架构实现效果验证454

6、.1 防火墙的架构与实现效果验证454.2 入侵检测的架构与实现效果验证484.3 内网安全的架构与实现效果验证49第5章 总 结50参考文献51前 言 物流是指利用现代信息技术和设备，将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现，随商品生产的发展而发展，物流是一种古老的传统的经济活动。以前的物流企业一直是单纯的靠交通工具和人力劳动来运作整个公司的。但是随着网络的出现和发展，各行各业都随之改变，物流行业当然也受到很大的影响。 如今网络正在逐步步入成熟阶段，网络、数据库等相关的应用技术在不断发展，网络运营及电子商务

7、也被广泛应用。物流行业也从传统的人力劳动行业发展为结合信息技术为消费者提供服务的行业。物流是将物品从供应地向接收地准确的、及时的、安全的、保质保量的、门到门的合理化服务模式和先进的服务流程。物流是随商品生产的出现而出现，随商品生产的发展而发展，物流即意味着企业的生产、流通的全部。而随着网络在企业中的普及和发张，物流行业也在走入物流信息化，物流信息化的定义是：利用信息技术整合企业内部的业务流程，使企业向着规模经营、网络化运作的方向发展。物流信息化是物流企业相互融合的重要手段。物流信息化因此是企业间和企业内部物流过程中所产生数据的全部记录。物流配送中心建设信息系统应充分支持管理者制订物流运作计划和

8、实际的业务操作。尽管现代物流配送中心日趋向多样化和全面化发展，但构成其核心竞争能力或有助于其获取竞争优势的还是其核心业务，如汇集客户的发货信息、组织货物的入库、配货、分拣、储存、出库、配送等。 物流行业正以信息技术为手段，向综合性物流企业发展，积极发展第三方物流，实现物流的社会化、专业化、规模化，大幅度提升物流产业的优势。然而许多物流公司有简单的网络平台，但是却缺乏合理的网络安全设计和管理，其企业操作人员缺乏网络安全知识，所有的计算机基本上都在互联网裸奔，不断的被黑客种下病毒、木马，然后被劫持当成肉鸡，给公司带来麻烦甚至导致整个网络的瘫痪，造成公司内部存储的信息丢失；甚至于内部人员为了利益窃取

9、出卖公司的利益，使公司造成重大的损失。正是如此，物流公司也越来越重视网络安全，甚至重新打造一个稳定的平台。3第1章 公司现状1.1 公司简介 有限公司是一家以国内公路运输和航空货运代理的综合物流企业，在物流界享誉较高的知名度。公司秉承“诚信为本，速度至上”的服务理念，保持积极进取、注重服务的态度，培养自己的人才，通过不断的优化服务和信息化系统的搭建，提升运输网络和标准化体系，创造最优化的运营模式，为广大客户提供安全、快速、专业、满意的物流服务。一直以来，公司都致力于与员工共同发展和成长，打造人企双赢局面，努力创造更多的社会效益，努力将晨曦打造成为中国人信任的国内物流运营商，实现“为中国提速”的

10、使命。公司主要经营：晨曦运物流有限公司以及江西运输子公司、浙江运输子公司.有限公司成立于2004年07月04日，现拥有员工150多名，是一家集运输仓储配送于一体的物流公司。 现在的公司部门及职责如图1-1所示：图1-1公司架构及职责公司经过长期的努力,现已成为一家组织健全，经验丰富的公路运输和航空货运代理的综合物流企业。1.2 公司网络状况该公司是物流业中进行企业信息化建设较早的公司，信息化建设的主要目的是用于公司信息统计等基础性工作。该公司的网络拓扑图如图1-2所示：图1-2公司网络拓扑图该公司的局域网是一个信息点相对较为密集的百兆局域网系统，它所联接的现有近百个信息点为在整个公司内办公的各

11、单位部门提供了一个信息交流平台。不仅如此，通过专线与Internet的连接，各个部门授权用户可以直接与互联网用户进行交流、查询资料等。这个公司的访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。Web等服务器和办公区客户机，通过内部网络的相互连接，然后与外网互联。基于基础的安全的考虑，在交换机上按地域和部门划分了五个网段。1.3 公司网络安全问题 公司一段时间后，基本实现了公司的办公信息化，但由于当初的投资力度及意识不够，以及公司领导未重视网络安全方面，导致公司的网络出现重大漏洞。在2012年10月份被人潜入公司内部网络，导致信息部中一项重要的招标文件泄露，被竞

12、争公司知晓，以1万元的差距落选了该项目，导致公司的利益受到相当大的损害。为此，公司开始重视网络安全。在对公司的网络安全进行全面检查后，发现以下问题。1.3.1 主要安全隐患（1）病毒的入侵在之前的规划中，只提到了加大公司信息化管理的投资力度、采用计算机处理数据、进行网络建设，而对于网络安全方面的建设力度较小，这样就使的黑客很容易就能在公司电脑植入病毒，从而引发重大灾情。（2）内部人员操作缺乏安全意识如今网络发展迅速，但是网络安全技术和信息的应用普及相对滞后，内部人员缺乏安全方面的的培训和学习，很容易忽略安全设备和系统，不能使其发挥相对的作用，这使的公司的网络存在较大的安全隐患。（3）设备物理安

13、全由于网络中大部分的设备都是通过通信电缆通信的，为了布局合理性，往往核心设备都是放置在一个机房的，公司的机房只有简单的上锁没有专人巡查看守，这使得公司的网络物理设备存在较大的安全隐患。1.3.2 具体的网络安全问题(1) 公司网络拓扑不合理问题，没有硬件防火墙公司网络中，没有做到内部网络与外部网络的安全隔离，在公司网络拓扑设计上只采用服务器经过路由器上网，而没有配置防火墙，内外网互联存在着很大的漏洞。(2) 用户身份认证问题在公司网络系统中，对具有远程访问权限的用户连接没有采用加密与身份认证手段。（3） 没有入侵检测技术和网络监控技术，对于入侵的目标无迹可寻，内网安全存在严重漏洞，没有办法有效

14、的保护公司的信息安全。第2章 网络安全架构需求分析针对有限公司将再开设一个公司的情况，结合有限公司现在的网络状况和现有条件，对网络安全设计方面提出一下几点构思。2.1 保证内网安全针对有限公司招标文件泄密的情况，保证内网安全是首要任务。主机防火墙的出现解决了其中比较矛盾突出的问题，也是最基本的问题，就是关于基础安全;而近几年日趋完善的桌面或终端内网安全管理类产品的出现实现了集中的内网计算机安全管理，提供了对于内网两方面需求的满足即安全与管理2.2 保证广域网接入的安全Internet是一个高度开放的大环境，用户接入Internet就意味着完全将自己暴露在危机四伏的处境。通过网络防火墙可以过滤来

15、自Internet的大部分攻击， 防火墙能强化安全策略。 防火墙能有效地记录Internet上的活动、限制暴露用户点、隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。 防火墙是一个安全策略的检查站，所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。 2.3 保证远程访问的安全远程访问是通过公众网来传输私有数据，因此保证数据安全性是远程访问的关键环节。远程访问由于使用Internet作为承载介质，VPN必须有足够的安全保障功能，通过高强度的加密算法保证数据不被侦听或篡改，确保接入用户身份的唯一性。另外，还可以控制用户对内网资

16、源的访问权限，做的指定人访问指定资源，访问均在控制之中。第3章 网络安全架构实现具体方案3.1 设备链接拓扑图与网络划分通过对有限公司的现有网络情况进行分析后，硬件方面决定在现有网络上部署一台防火墙以及NIDS设备，软件方面决定采用趋势科技的防毒墙，设备链接拓扑图如图3-1所示：图3-1网络安全设备链接拓扑图结合图3-1和图1-2情况考虑，打算对网络进行表3-1的划分：1、WAN口接入一台PC作为外部主机（开启22端口和21端口即SSH服务和FTP服务），地址10.0.0.100/24,网关指向10.0.0.1；2、DMZ口接入一个Web服务器提供Web服务和一个文件服务器提供文件服务，web

17、服务器地址172.16.0.2/29网关指向172.16.0.1；文件服务器地址为172.16.0.3/29网关指向172.16.0.1；3、LAN区域接入一个192.168.1.0/24的子网，网关指向192.168.1.1。表3-1 网络划分网络区域网段网关LAN区域192.168.1.0/24192.168.1.1DMZ区域172.16.0.0/29172.16.0.1WAN区域10.0.0.0/2410.0.0.14、IP网段是连续的IP地址，为： 192.168.0.1-192.168.0.1685、防火墙管理pc机的IP为：192.168.0.16、NIDS管理pc机的IP为：19

18、2.168.0.27、信息安全管理审计系统管理pc机的IP为：192.168.0.38、内网保密安全系统的管理终端IP为：192.168.0.49、Web服务器IP地址为：172.16.0.210、文件服务器IP地址为：172.16.0.311、内网保密安全系统的总控中心服务器IP为：172.16.0.412、外网pc1IP为：10.0.0.10013、内网pc1IP为：192.168.1.214、内网pc2IP为：192.168.1.615、内网pc3IP为：192.168.1.1633.2 防火墙的架构与实现3.2.1 连接与登录配置一、设备的选型针对有限公司的网络分析，经过研究实验，决定

19、采用蓝盾公司型号为BDFW-M3000的防火墙。图3-2 防火墙外观二、利用浏览器登陆防火墙管理界面1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来，当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上2、客户端设置，设置本地连接IP地址为：192.168.0.13、使用ping命令测试防火墙和管理PC间的连接情况。打开IE浏览器，输入管理地址http:/192.168.0.1:81，进入欢迎界面，在防火墙的欢迎界面输入用户名和密码，点击“登录”进入防火墙管理系统。图3-3 防火墙管理系统界面三、配置基本内容1、网段、IP地址、端口配置2、创建、编辑规则防火墙中需要对规则进行操作

20、，以下对SNAT 策略进行了编辑：添加策略：在“增加设置”中，设置相应参数，单击保存则在“设置列表”添加一个规则，保存之后的界面如图所示：图3-4 SNAT策略设置列表然后点击“编辑”对SNAT 策略进行编辑，编辑完之后保存。图3-5 SNAT策略编辑界面3.2.2 透明模式（网桥模式）的安装与部署在透明模式(桥接模式)下，防火墙相当于一个网桥，通过将两个网口桥接起来，也即将交换机和路由器直接连接起来，从而无需改动原有网络结构，将防火墙透明的加入网络。对于连接内网的LAN2口，其IP地址要设成和内网在同一个网段。一、将防火墙接入当前网络1、将防火墙按照拓扑所示接入当前网络，由路由器引入的外线接

21、WAN口，由交换机引出的内部网线接LAN口2、检验加入后网络状况二、配置桥接1、进入桥接设定界面，“网络设置”“网口配置”“网口”，由于桥接要求网口不能是内网口，并且在该网口上没有配置外线连接，将LAN3口（LAN）、LAN4口（WAN）上的IP全部去掉2、启用桥接进入桥接设定界面，“网络设置”“网口配置”“桥接设定”，下面左边的框中就出现了可供选择的接口图3-6 桥接设定界面定义一条桥接规则：选择LAN、WAN，双击“”移到右边的框中，然后添加，添加成功，在“现有规则”中会出现一条定义好的规则，然后重启。3.2.3 内外网互访策略编辑与管理默认情况下，连接在防火墙不同网口的网络是不能互相访问

22、的，为了是各个网络间实现互通，需要建立各个网络间的通信通道：1、外网访问内网是通过端口映射机制实现。2、内网访问外网是通过设置访问规则控制。3、它们都是通过建立通信规则，并将规则应用到不同网口、网段或IP上实现。一、检查各点网络状况1、外部主机pc1（10.0.0.100/24），可以ping通防火墙的WAN口地址，但是没有办法到达DMZ区的Web服务器，因为对于10.0.0.100来说，Web服务器的地址是一个其他网络的内网地址：图3-7外部主机与WAN口连通性测试图3-8外部主机与Web服务器连通性测试2、Web服务器（172.16.0.2/29）主机，无法ping通外网PC，因为防火墙上

23、默认是拒绝连出的，它也无法ping通外网PC：图3-9 Web服务器与外部主机连通性测试3、LAN区主机pc1（192.168.1.2/24），无法ping通外网主机。 图3-10 LAN口与外网主机连通性测试由于当前网络被防火墙隔离了，使得内外网无法互访，这时，我们可以通过端口映射的方式，使得外网可以访问内部网络，同时通过策略设置使内网可以访问外网。二、实现内网访问外网（SNAT）为内网PC提供对外网的访问策略1、配置SNAT映射可以让所有内部IP做地址转换访问外部2、配置内网LAN口下的PC1（192.168.1.2/24）可以访问外网pc1（10.0.0.100）3、进入“防火墙”“NA

24、T策略”“SNAT策略”界面，点击“添加”，做访问规则，然后设置规则参数，填写目标IP、目标端口，选择“启用”，单击“保存”。图3-11 SNAT策略编辑界面5、“防火墙”“LAN-WAN策略”“访问策略”，填写访问策略的实施对象内网pc1“192.168.1.2”，选择规则“全部允许”，点击“添加” 图3-12 访问策略编辑界面三、实现外网访问内网（DNAT）为外网PC提供对内网的访问策略1、进入“防火墙”“NAT策略”“DNAT策略”界面，点击“添加”，做访问规则，然后设置规则参数，填写目标IP、目标端口，选择“启用”，单击“保存”。图3-13 DNAT策略编辑界面把外网地址10.0.0.

25、1的1080端口映射到172.16.0.2的80端口，当访问10.0.0.1的1080端口时，防火墙就会把这个地址自动映射为172.16.0.2的80端口，外网访问内网的通道被打开图3-14 DNAT策略设置列表3.2.4 L2TP配置总公司出差的员工需要访问公司内网文件服务器上的文件夹，文件服务器的IP地址为172.16.0.3，出差的员工使用L2TP VPN连接到公司内部文件服务器。VPN服务器端配置一、创建证书1、进入“VPN”“CA认证”“权威认证证书”；2、创建服务器本地证书“locals Bluedon”，然后进行配置，点击“创建签名证书”，就会出现一条证书图3-15权威认证证书编

26、辑界面二、建立VPN隧道1、选择“VPN隧道”“L2TP移动客户端”，创建L2TP移动客户端VPN遂道：图3-16 L2TP移动客户端编辑界面设置好后并点击添加，就会出现一个名为ttt的隧道。图3-17 当前隧道列表三、启动VPN1、进入“VPN”“启动控制”，启动VPN服务器。2、进入“全局设定”，在“默认本地证书”的“CA权威认证证书”中选择locals Bluedon权威认证证书，选择“保存”。3、进入“防火墙”“LAN-LAN策略”“访问策略”建立一条允许远程L2TP客户同总公司LAN口对等相互访问的策略，这样出差员工就可以用L2TP隧道和总公司内网连通。进行配置后，点击“添加”，就会

27、出现下面一条访问规则，至此，总公司服务器端配置结束。图3-18 访问策略编辑界面VPN移动客户端配置一、 VPN客户端软件1、从网络管理员处获得VPN客户端软件，并安装，安装过程中写入总公司的外部IP，为新连接取名为“ttt”。图3-19 VPN客户端安装界面2、这里就填入新建证书时的用户名ttt，密码123456,点击“连接”。图3-20 VPN客户端连接界面至此VPN客户端配置完成。几秒钟后，连接成功，电脑右下角将显示连接上的VPN。同时在“网络连接”界面也会出现“虚拟专用网络”ttt（已连接）。图3-21 VPN连接状态3.4 入侵检测系统的架构与实现3.4.1 IDS设备部署与配置基于

28、有限公司的网络考虑，采用镜像口监听部署模式IDS设备部署1 连接设备图3-22 IDS设备端口连接2、登录管理界面从管理PC登录蓝盾NIDS设备Web管理界面前，需要确认管理PC的IP地址与设备缺省管理口IP地址设置在同一网段：192.168.0.0/24。透过网线将管理PC连接到LAN1口，打开IE浏览器，在IE地址栏输入https:/192.168.0.145 ,登录进去。 图3-23 NIDS网络入侵检测系统界面IDS设备配置1、 “网络设置”“网口配置”“网口”，将E2的LAN2的IP配置为192.168.2.2，点击保存，然后重启网络。（将LAN2口做为管理口，用于管理设备）图3-2

29、4 网口编辑界面2、“系统”“系统工具”“IP工具”，直接ping 网关192.168.0.1检验与内网的连通性。3、“系统”“管理设置”“管理界面访问设定”，网口选择LAN2，其余选项缺省，点击添加。4、“现有规则”中新增一条通过LAN2访问IDS界面的策略。图3-25 现有规则列表5、“系统”“管理设置”“密码”，按下图配置管理员用户，不启用USBKEY。 就会出现一个超级管理员用户图3-26 用户创建界面3.4.2 IDS入侵检测“入侵规则”“检测规则”，启动如下入侵检测规则中，要勾选User-defined（用户自定义），点击保存。图3-27 检测规则设置界面一、基础参数1、“入侵规则

30、”“检测规则”“自定义规则”“基础参数”，参照下图填入所要检测的项，点击添加。图3-28 自定义规则编辑界面选择协议，点击启用。就得到一条针对所有未知入侵的检测规则Intrusion _Info。图3-29 现有规则列表二、IP参数1、“入侵规则”“检测规则”“自定义规则”“IP参数”，参照下图填入所要检测的项，在t t l项填入64作为参考值，选择启用，点击添加。图3-30 自定义规则编辑界面添加后就得到一条名称为IP _Info的检测规则。图3-31 现有规则列表三、设置ICMP参数1、“入侵规则”“检测规则”“自定义规则”“ICMP参数”，填入选项，这里直接启用检测ICMP项来检测PIN

31、G工具，选择启用，然后再点击添加。图3-32 自定义规则编辑界面添加后就得到一条名称为ICMP _info的检测规则图3-33 现有规则列表四、阻断动作1、“入侵规则”“检测规则”“自定义规则”“阻断动作”，填入所要检测的项，这里选择断开ICMP。图3-34 自定义规则编辑界面下面就得到一条名称为Cutoff _Info的检测规则图3-35 现有规则列表3.5 信息安全管理审计系统架构与实现 3.5.1 系统的部署及系统登录信息安全管理审计系统是用来对内部用户访问外部网络的各种行为进行记录、控制、审计的一种网络安全硬件设备，主要有LAN1、LAN2、LAN3、LAN4四个100M快速以太网络接

32、口。通过将不同网口桥接并设置监控网口，我们可以有效的监控网络上传送的各种数据包。信息安全管理审计系统使用web图形界面进行管理和设置，具有方便、快捷，易于用户理解和掌握的优点。另外一方面信息安全管理审计系统使用了https安全传输协议，保证在管理中传输的相关设置和信息不被窃听，保护设备自身的安全。1、系统前面板，结构如图3-36：图3-36 系统前面板2、系统后面板，结构如图3-37：图3-37 系统后面板二、登录系统：1、设置管理PC地址图（拓扑图）将管理PC与信息安全管理审计系统连接，同时将管理PC的IP地址改为：192.168.0.3/242、登录系统，登录后我们可以看到如图3-38：图

33、3-38 信息安全管理审计系统三、设置桥接模式接下来要将LAN3口和LAN4口桥接起来，以配置网关接入方式。1、在左边栏选择选项“系统管理”-“系统设置”。2、在右边栏选择选项“桥接设置”-“使用桥接”，选择“网口3”和“网口4”，点击“确定”就桥接成功了。图3-39 桥接设置界面3.5.2 网络访问与网络日志查看一、浏览网页访问日志。1、登录信息安全管理审计系统，点击“网络日志”-“网页浏览”，可看到网页的内网pc3访问情况。图3-40 网页浏览网络日志列表2、单击相应的时间，便可以查看每一条记录的详细情况。3、设置访问日期就能查看那段时期的日志。二、其他网络访问行为的记录1、在本地电脑中登

34、陆QQ 2、登陆后打开信息安全管理审计系统，点击“网络日志”-“网络聊天”，刚刚登陆的QQ号以及内网pc3的IP地址已经记录在审计系统中。图3-41 网络聊天网络日志列表3、对站点进行访问后，登陆信息安全管理审计系统，点击“网络日志”-“telnet”，对站点的访问不仅有内网pc3的IP地址等信息的记录，还有具体的传输内容图3-42 Telnet网络日志列表3.5.3 监控策略的应用监控策略能够通过对网络中数据包内容进行关键字分析，对含有关键字的数据包进行报警或者屏蔽。通过监控策略，可以针对网页浏览、telnet、文件传输设置关键字，屏蔽敏感一、网站的屏蔽与报警1、内部用户PC访问新浪网站，确

35、定能够进行正常网页浏览。然后打开信息安全管理审计系统，点击“策略管理”-“监控策略”。图3-43 监控策略编辑界面2、点击右边栏“添加策略”按钮，出现如下界面，设置策略名称为禁止访问新浪网站、同时选择阻断/报警，有效期设置选始终生效。图3-44 策略编辑界面4、点击“关键字”，设置关键字：sina，关键字类型选内容关键字。图3-45 关键字编辑界面6、确定后自动回到监控策略设置界面，就会显示已经设置的策略。单击“策略下发”按钮，应用策略。再次打开浏览器访问地址，显示“正在连接”，已经无法访问。图3-46 网页无法连接界面二、邮件屏蔽1、下载Foxmail邮件收发软件进行安装，发送一封邮件至自己

36、的邮箱地址，确定邮箱能够正常工作。2、登录信息安全管理审计系统，点击“策略管理”-“监控策略”，进入之后再点击右边栏“添加策略”后增加新策略，策略关键字填阻止邮件关键字“机密”，同时选择阻断和报警，有效期限选始终生效。图3-47 策略编辑界面6、点击“关键字”，设置关键字：机密、关键字类型：内容关键字、适用服务：邮件访问。如下图图3-48 关键字编辑界面7、点击“确定”后回到“监控策略”界面，确认已经添加了相关策略，再点击“策略下发”，打开foxmail，尝试给自己邮箱发送一封邮件，邮件主题为“公司机密”。8、点击发送后提示放弃连接。邮件无法发送。图3-49 邮件无法发送提示三、禁止文件下载1

37、、访问文件服务器172.16.0.3，尝试下载ftp中公司年度财务报告，确定能够下载。2、登陆信息安全管理审计系统，点击“策略管理”-“监控策略”-“添加策略”。添加策略，设置策略名称填阻止FTP下载关键字“财务”，同时勾选阻断和报警，有效设置选始终生效。图3-50 策略编辑界面3、点击“关键字”，设置关键字为财务，关键字类型填内容关键字，适用服务勾选文件传输。图3-51 关键字编辑界面4、点击“确定”后回到监控策略页面，适用用户PC再次登陆文件服务器172.16.0.3，尝试下载文件“公司年度财务报告”，进度显示一直为0，已经无法下载。如图3-48所示图3-52 文件复制对话框3.6 内网保

38、密安全系统的架构与实现3.6.1内网保密软件的部署及登录通过安装SQL2000数据库软件，用于存储内网保密软件控制中心的相关数据，安装内网保密控制中心软件，实现对安全客户端的监控及审计，构建完整的内网安全保密及审计系统管理控制平台。一、安装SQL2000数据库软件并下载补丁进行升级；二、安装内网保密系统控制中心软件图3-53 内网安全保密软件安装界面三、登录系统图3-54 内网安全保密软件登陆界面3.6.2 上网行为监控一、新建模块1、点击选项“功能”“安全策略”“安全策略管理中心”“策略模板管理”，点击“新建模块”。 图3-55 新建模板界面2、启动上网行为监控，再点击添加进行配置图3-56

39、 添加/修改上网规则界面三、下发策略选择选项“本地策略管理”，点击“应用策略模版” ，下发策略选择好需要下发的部门和主机。四、查询审计1、点击选项“功能”“审计报表”“审计报表管理中心”，选择“查询统计”，双击“上网行为监控”会出现一个报表，双击报表进行查看。3.7 趋势科技防毒墙配置结合有限公司的网络需求分析和实际情况，决定采用趋势科技防毒墙网络版10.0一 安装前的准备工作1 确认已经将10.0 SP1安装包OSCE_10_With_SP1_B1892_SC及SP1 Patch1补丁程序OSCE_10.0_B1895_SC_SP1_Patch1下载到预安装服务器的本地硬盘上；2 预安装服务

40、器已经成功安装IIS3 本地IP已经成功配置4 建议服务器计算机至少2Ghz以上内存。二 开始安装1将已下载到服务器的安装包 OSCE_10_With_SP1_B1892_SC解压缩并进行安装。安装过程中选择安装到一台电脑，扫描目标计算机，安装集成型服务器，安装网络版客户端，配置软件安装，安装完毕后重启电脑。2、服务器重启完毕后，在Officescan 10.0 服务器双击执行SP1 Patch1补丁程序安装包再重启电脑。3、设置服务器更新频率图3-57 服务器预设更新编辑界面4.全局客户端设置：依次展开“联网计算机”-“全局客户端设置”， 设置“将手动扫描添加到客户端计算机的Windows快

41、捷菜单中”。图3-58 全局客户端设置编辑界面设置病毒码过期提醒。根据需要进行相关设置，其他的一般采用默认即可 图3-59 全局客户端设置编辑界面依次展开“联网计算机”-“客户端管理”； 在设置选项中选择“实时扫描设置”，然后在“处理措施”选项中选择开启“检测到病毒/恶意软件时在客户端计算机上显示通知消息”，其它设置选择默认设置。图3-60 实时扫描设置编辑界面6.行为监控设置在设置选项中选择“行为监控设置”，进入后选择默认设置；图3-61 行为监控设置编辑界面7、设备控制设置：在设置选项中选择“设备控制设置”，进入后选择不启用预设日志删除。进行日志维护设置图3-62 日志维护编辑界面服务器更

42、新：依次展开“更新”-“服务器”-“手动更新”，点击更新。更新完毕后就完成了基本配置43第4章 安全架构实现效果验证4.1 防火墙的架构与实现效果验证连接与登录配置：使用ping命令测试防火墙和管理主机间的互通，能互通。图4-1防火墙与管理主机连通性测试透明模式（网桥模式）的安装与部署：LAN内任何一台主机可以ping通路由地址。图4-2 LAN内主机与路由器连通性测试内外网互访策略编辑与管理：1、外部主机（10.0.0.100/24），通过http:/10.0.0.1:1080可以访问DMZ口的Web服务器：图4-3外部主机与web服务器连通性测试2、DMZ区的Web服务器（172.16.0

43、.2/29）主机，仍然无法ping通外网主机：图4-4 Web服务器与外部主机连通性测试L2TP配置：1、在DOS下用“ipconfig”命令，会出现获取的总公司内网的IP地址192.168.1.6图4-5公司内网IP地址查询2、PING通了总公司内网的网关192.168.1.1图4-6外部主机与内网连通性测试2、 PING通文件服务器172.16.0.3，已可以和文件服务器进行数据交换。图4-7外部主机与文件服务器连通性测试4.2 入侵检测的架构与实现效果验证针对IDS检测规则的操作，得到了一下入侵日志：扫描操作图4-8 扫描操作入侵日志列表Ping操作图4-9 PING操作入侵日志列表阻断

44、操作图4-10阻断操作入侵日志列表4.3 内网安全的架构与实现效果验证网络访问与网络日志：网络访问时留下的网络日志图4-11 网页浏览网络日志列表监控策略的使用：图4-12 监控策略列表由上面这些图片可以看出，方案中的网络安全架构均能实现。第5章 总 结在设计方案的时候，由于网络安全方面知识学习的不彻底，在设计完成方案时就考虑的不太周全，导致方案有优点的同时也存在着一些缺点。方案的优点：l 有效的防止信息不泄露给非授权用户、实体。l 信息在存储或传输过程中保持不被修改、不被破坏和丢失l 网络环境下拒绝服务、破坏网络和有关系统的正常运行等有关的相对措施l 有效的阻止一些不良信息以及病毒的入侵l

45、内网的安全得到很大的完善方案的缺点：l 对防毒墙的部分设置不了解，设置不够完善l 设计时没有考虑到以后的优化升级，以后的优化升级存在着一定的困难在这次方案的实现上，认识到了自己在网络安全方面技术知识方面的缺乏，许多技术需要通过网上搜索或者求助的方式来实现想要的效果。后来在拟定了方案大概要做的步骤后，就着手开始了解网络安全等一系列的知识学习，在实现方案的时候，我发现还有许多不是很明白的地方，如：防火墙的安全策略包括哪些内容？如何根据安全需求制定一个网络的安全策略？刚开始的时候实验感觉很困难，后来通过慢慢的研究，感觉也不是那么难不可攻。虽然随着实验的进行遇到的问题也越多，但是有信心通过自己在网上查询以及咨询一些好友来进行解决。网络安全需要考虑到多方面的知识，要做一个安全的企业网络不是一蹴而就的事情，需要通过不断的测试、研究、修改来进行各方面的完善，这需要一个积累的过程。通过这次编写文章，无论是在网络知识方面还是为人处事方面，都有了十足的进步，同时对自己也有了更为严格的要求，以此来督促自己不断的进步。 参考文献1 史晓红.网络安全完全技术宝典M.北京：中国铁道出版社，2010.25-262 彭文波，彭圣魁，万建邦.网络安全完全技术宝典M